This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

spam from random Hotmail addresses

Hello everyone, 
I have a problem I can 't seem to figure out.

I have a user that got two email today like this one below

From: Futrell Torina 

Date: October 14, 2013 at 2:17:46 PM EDT
To: Brian ***XX From: Futrell Torina 
Date: October 14, 2013 at 2:17:46 PM EDT
To: Brian ***XX 
Subject: Re[:P]ool Cover Technician (East Side)
Feeling bad to e-mail ya out of nowhere however truly Im thinking about
meeting. In case you are experience bored to death let me know. 
You can 24 7 find me on my profile. There is not any charge to become 
listed on thus yep, would like to talk with you! I have tons of images of us
on the to suit your needs, I think you will always be impressed! xoxo 


below this were two nasty selfie pictures.


The email was sent to a common email for our company similar to info@example.com that this user monitors.

the other one is almost exactly the same but with a different hotmail account and a different link "http://tongueo.org "

How do I stop this from happening again?? I can't block all of hotmail!!

and the smtp logs shows they came from two separate servers..

the links all go to the same place eventually, but it goes to a facebook account first, then jumps to "bahoo.be"...Which is some live girls video chat site.

I have added some expressions to the "expressions filter list" but that's all I can think of...

any ideas would be greatly appreciated!
thanks
bill12780


This thread was automatically locked due to age.
Parents
  • Bill, please show the lines from the SMTP log file related to the email above.  Also, the header from the above email.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hello BAlfson, 
    Thanks for your response on this. I hope you can help. He got two more this morning...

    here is the header for the email we get...

    Received: from mail.poolcovers.com (10.0.0.29) by Exchange.poolcovers.local
    (10.0.0.89) with Microsoft SMTP Server (TLS) id 8.3.298.1; Tue, 15 Oct 2013
    00:54:44 -0600
    Received: from col0-omc3-s14.col0.hotmail.com ([65.55.34.152]:59113)      by
    mail.poolcovers.com with esmtp (Exim 4.76)     (envelope-from
    )   id 1VVyUd-0004YJ-13        for servicein@poolcovers.com; Tue,
    15 Oct 2013 00:52:35 -0600
    Received: from COL130-W41 ([65.55.34.136]) by col0-omc3-s14.col0.hotmail.com
    with Microsoft SMTPSVC(6.0.3790.4675);         Mon, 14 Oct 2013 23:47:33 -0700
    X-CTCH-RefID: str=0001.0A020204.525CE633.00AA,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    X-TMN: [ItgYBvuGpZWVOziWubS/DdVmkOr4RGuc]
    X-Originating-Email: [e7eurc@hotmail.com]
    Message-ID: 
    Return-Path: e7eurc@hotmail.com
    Content-Type: multipart/mixed;
                boundary="_41ab26c7-0d50-47b2-9962-f966c7aa7243_"
    From: Sharita Gallegos 
    To: 
    Subject: Re[:P]ool Cover Technician (East Side)
    Date: Tue, 15 Oct 2013 07:47:30 +0100
    Importance: Normal
    MIME-Version: 1.0
    X-OriginalArrivalTime: 15 Oct 2013 06:47:33.0559 (UTC) FILETIME=[6D2F3C70:01CEC972]


    I am a little confused about the log entry you requested. If you mean the smtp log from the "mail Manger" its just says that the smtp transport completed successfully to our server.

    Is there another log some place I don't know about. I must tell you I am still pretty new to this sophos world.[:S]

    Each email has a different email account and a different chick name. The body of the email is almost exactly the same each time. But just a bit different. 

    any help, advise you can give would be great...[:)]

    thanks
    bill
Reply
  • Hello BAlfson, 
    Thanks for your response on this. I hope you can help. He got two more this morning...

    here is the header for the email we get...

    Received: from mail.poolcovers.com (10.0.0.29) by Exchange.poolcovers.local
    (10.0.0.89) with Microsoft SMTP Server (TLS) id 8.3.298.1; Tue, 15 Oct 2013
    00:54:44 -0600
    Received: from col0-omc3-s14.col0.hotmail.com ([65.55.34.152]:59113)      by
    mail.poolcovers.com with esmtp (Exim 4.76)     (envelope-from
    )   id 1VVyUd-0004YJ-13        for servicein@poolcovers.com; Tue,
    15 Oct 2013 00:52:35 -0600
    Received: from COL130-W41 ([65.55.34.136]) by col0-omc3-s14.col0.hotmail.com
    with Microsoft SMTPSVC(6.0.3790.4675);         Mon, 14 Oct 2013 23:47:33 -0700
    X-CTCH-RefID: str=0001.0A020204.525CE633.00AA,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    X-TMN: [ItgYBvuGpZWVOziWubS/DdVmkOr4RGuc]
    X-Originating-Email: [e7eurc@hotmail.com]
    Message-ID: 
    Return-Path: e7eurc@hotmail.com
    Content-Type: multipart/mixed;
                boundary="_41ab26c7-0d50-47b2-9962-f966c7aa7243_"
    From: Sharita Gallegos 
    To: 
    Subject: Re[:P]ool Cover Technician (East Side)
    Date: Tue, 15 Oct 2013 07:47:30 +0100
    Importance: Normal
    MIME-Version: 1.0
    X-OriginalArrivalTime: 15 Oct 2013 06:47:33.0559 (UTC) FILETIME=[6D2F3C70:01CEC972]


    I am a little confused about the log entry you requested. If you mean the smtp log from the "mail Manger" its just says that the smtp transport completed successfully to our server.

    Is there another log some place I don't know about. I must tell you I am still pretty new to this sophos world.[:S]

    Each email has a different email account and a different chick name. The body of the email is almost exactly the same each time. But just a bit different. 

    any help, advise you can give would be great...[:)]

    thanks
    bill
Children
No Data